Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) GoldenJackal Threat-skuespiller

GoldenJackal Threat-skuespiller

Med Mezo i Advanced Persistent Threat (APT)
Oversett til:
Norsk

En mindre kjent trusselaktør kjent som GoldenJackal har blitt assosiert med en rekke nettangrep rettet mot ambassader og statlige organer, med den hensikt å bryte luftgap-systemer gjennom to distinkte tilpassede verktøysett.

Målene har inkludert en sørasiatisk ambassade i Hviterussland og en regjeringsorganisasjon innenfor EU (EU). GoldenJackals primære mål ser ut til å være tyveri av sensitiv informasjon, spesielt fra høyprofilerte systemer som kan forbli koblet fra Internett.

GoldenJackal har vært aktiv i årevis

GoldenJackal ble først identifisert i mai 2023, da forskere rapporterte trusselklyngens angrep som retter seg mot diplomatiske og statlige enheter i Midtøsten og Sør-Asia. Konsernets virksomhet kan spores tilbake til minst 2019. Et bemerkelsesverdig aspekt ved disse inntrengingene er utplasseringen av en orm kjent som JackalWorm, som kan infisere tilkoblede USB-stasjoner og levere en trojaner referert til som JackalControl.

Selv om det ikke er nok bevis til å definitivt assosiere disse aktivitetene med en bestemt nasjonalstatstrussel, eksisterer det noen taktiske likheter med ondsinnede verktøy brukt i kampanjer tilskrevet Turla og MoustachedBouncer, hvor sistnevnte også har fokusert på utenlandske ambassader i Hviterussland.

Flere trusler om skadelig programvare distribuert av GoldenJackal

Informasjonssikkerhetseksperter identifiserte gjenstander knyttet til GoldenJackal ved en sørasiatisk ambassade i Hviterussland i august og september 2019, med ytterligere funn i juli 2021. Spesielt har trusselaktøren vellykket distribuert et fullstendig oppdatert verktøysett mot en EU-myndighetsenhet mellom mai 2022 og mars 2024.

Sofistikasjonen som ble demonstrert ved å utvikle og distribuere to forskjellige verktøysett spesielt designet for å kompromittere luftgap-systemer over fem år, fremhever gruppens oppfinnsomhet.

Angrepet på den sørasiatiske ambassaden i Hviterussland skal ha brukt tre forskjellige skadevarefamilier sammen med JackalControl, JackalSteal og JackalWorm:

  • GoldenDealer, som forenkler levering av kjørbare filer til luftgapte systemer gjennom kompromitterte USB-stasjoner.
  • GoldenHowl, en modulær bakdør som kan filtyveri, lage planlagte oppgaver, laste opp og laste ned filer til og fra en ekstern server, og etablere en SSH-tunnel.
  • GoldenRobo, et verktøy designet for filinnsamling og dataeksfiltrering.

Det nye settet med truende verktøy som brukes i angrep

Derimot har angrepene rettet mot den ikke navngitte regjeringsorganisasjonen i Europa brukt en helt ny pakke med skadevareverktøy, hovedsakelig skrevet i Go. Disse verktøyene er utviklet for å samle filer fra USB-stasjoner, spre skadelig programvare via USB-stasjoner, eksfiltrere data og bruke visse maskinservere som oppsamlingsservere for å distribuere nyttelast til andre verter:

  • GoldenUsbCopy og dens forbedrede etterfølger, GoldenUsbGo, som overvåker USB-stasjoner og kopierer filer for eksfiltrering.
  • GoldenAce, som brukes til å spre skadelig programvare, inkludert en lett versjon av JackalWorm, til andre systemer (ikke nødvendigvis lufthull) gjennom USB-stasjoner.
  • GoldenBlacklist og dens Python-variant, GoldenPyBlacklist, som behandler e-postmeldinger av interesse for fremtidig eksfiltrering.
  • GoldenMailer, som sender innhentede data til angripere via e-post.
  • GoldenDrive, som laster opp innhentet informasjon til Google Drive.

Foreløpig er det fortsatt uklart hvordan GoldenJackal i utgangspunktet kompromitterer målmiljøer. Imidlertid har forskere tidligere antydet at trojaniserte Skype-installatører og korrupte Microsoft Word-dokumenter kan tjene som potensielle inngangspunkter.

Hvordan går GoldenJackal-angrepene?

GoldenDealer, en gang installert på en Internett-tilkoblet datamaskin gjennom en uidentifisert metode, aktiveres når en USB-stasjon settes inn. Denne handlingen resulterer i kopiering av seg selv og en ukjent ormkomponent til den flyttbare enheten. Det antas at denne ukjente komponenten kjøres når den infiserte USB-stasjonen kobles til et luftgapet system, hvoretter GoldenDealer samler inn informasjon om maskinen og lagrer den på USB-stasjonen.

Når USB-enheten settes inn igjen i den Internett-tilkoblede datamaskinen, overfører GoldenDealer informasjonen som er lagret på stasjonen til en ekstern server, som deretter sender tilbake passende nyttelast som skal utføres på systemet med luftgap. Skadevaren er også ansvarlig for å kopiere de nedlastede kjørbare filene til USB-stasjonen. I det siste stadiet, når enheten kobles til maskinen med luftgap igjen, kjører GoldenDealer de kopierte kjørbare filene.

I tillegg kjører GoldenRobo på den Internett-tilkoblede PC-en, designet for å hente filer fra USB-stasjonen og sende dem til den angriperkontrollerte serveren. Denne skadelige programvaren, utviklet i Go, henter navnet sitt fra et legitimt Windows-verktøy kalt robocopy, som det bruker til å utføre filoverføringene.

Foreløpig har forskerne ikke identifisert en egen modul som er ansvarlig for å overføre filer fra den luftgapte datamaskinen til selve USB-stasjonen.

Evnen til å distribuere to distinkte verktøysett for å kompromittere luftgap-nettverk i løpet av bare fem år viser at GoldenJackal er en sofistikert trusselaktør som forstår nettverkssegmenteringsstrategiene som brukes av sine mål.


Trender

Mest sett

Laster inn...